访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用获取最小权限策略描述授权的具体内容。
本文为您介绍API 网关(CloudAPI)为RAM权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。API 网关(CloudAPI)的RAM代码(RamCode)为 apigateway、cloudapi,支持的授权粒度为资源级。
权限策略支持JSON格式,其通用结构如下:展开详情
下表是API 网关(CloudAPI)定义的操作,这些操作可以在RAM权限策略语句的Action元素中使用,用来授予执行该操作的权限。下面对表中的具体项提供说明:展开详情
| 操作 | API | 访问级别 | 资源类型 | 条件关键字 | 关联操作 |
|---|---|---|---|---|---|
apigateway:AbolishApi | 下线指定运行环境的指定API | Update | ApiGroup acs:apigateway:{#regionId}:{#accountId}:apigroup/{#GroupId} | 无 | 无 |
apigateway:AcquireGatewayToken | Get | Instance acs:apigateway:{#regionId}:{#accountId}:instance/{#InstanceId} | 无 | 无 | |
apigateway:AddAccessControlListEntry | 本功能为API网关专享实例提供实例级别的访问控制能力;
在实例的访问控制策略中添加IP条目 | Update | AccessControlList acs:apigateway:{#regionId}:{#accountId}:accesscontrollist/{#AclId} | 无 | 无 |
apigateway:AddInstanceIntoInstanceCluster | Update | 全部资源 * | 无 | 无 | |
apigateway:AddIpControlPolicyItem | 向某个已存在的IP访问控制增加一条策略 | Create | IpControl acs:apigateway:{#regionId}:{#accountId}:ipcontrol/{#IpControlId} | 无 | 无 |
apigateway:AddTrafficSpecialControl | 在指定流控策略下添加用户自定义特殊流控策略 | Create | TrafficControl acs:apigateway:{#regionId}:{#accountId}:trafficcontrol/{#TrafficControlId} | 无 | 无 |
apigateway:ApiDiff | None | 全部资源 * | 无 | 无 | |
apigateway:AssociateInstanceWithPrivateDNS | 关联内网域名解析到专享实例 | Update | 全部资源 * | 无 | 无 |
apigateway:AttachApiProduct | 将API绑定到指定的API产品(如果指定的API产品不存在,将自动创建) | Create | 全部资源 * | 无 | 无 |
apigateway:AttachGroupPlugin | 分组绑定插件 | None | Plugin acs:apigateway:{#regionId}:{#accountId}:plugin/{#PluginId} | 无 | 无 |
下表是API 网关(CloudAPI)定义的资源,这些资源可以在RAM权限策略语句的Resource元素中使用,用来授予对该资源执行具体操作的权限。
其中,资源ARN是资源在阿里云上的唯一标识。具体说明如下:
| 资源类型 | 资源ARN |
|---|---|
AccessControl |
|
AccessControlList |
|
ApiGroup |
|
App |
|
Backend |
|
Dataset |
|
Instance |
|
IpControl |
|
LogConfig |
|
Plugin |
|
API 网关(CloudAPI)未定义产品级别的条件关键字。如需查看适用于所有云产品的通用条件关键字,请参见通用条件关键字。
